Quali sono le condizioni per l’attuazione del trattamento?
Home » Capire la protezione dei dati » Quali sono le condizioni per l’attuazione del trattamento?

Il trattamento dei dati personali per scopi legittimi e legali è quindi consentito, ma solo a certe condizioni sulla sua attuazione. Quanto segue descrive queste condizioni in modo più dettagliato.

La base logica di queste condizioni è quella di limitare ed equilibrare il potere acquisito dall’organizzazione che tratta i dati personali (i cosiddetti Titolari del trattamento) sugli individui interessati (i cosiddetti soggetti titolari dei dati).

Come panoramica, ciò si ottiene nei seguenti modi:

  • Responsabilità del Titolare del trattamento
  • Responsabilizzazione degli interessati
  • Equilibrio di potere attraverso un’autorità di vigilanza
  • Permessoper i Titolari del trattamentodi usare il potere acquisito solo per il raggiungimentodegli scopi legittimi dichiarati
  • Limitazione del potere acquisito a ciò che è minimamente necessario per soddisfare gli scopi legittimi
  • Protezione degli investimenti e dellerisorse degli interessati,
  • Divieto di trattamenti che non siano adatti allo scopo.
  • I singoli punti in elenco verranno discussi più dettagliatamente nei seguenti punti.

I Titolari del trattamento sono pienamente responsabili

Una prima misura per limitare il potere dei controllori è renderli pienamente responsabili dell’intera attività di trattamento. Questo è uno dei principi chiave del GDPR (vedi Art. 5(2)). Va oltre il semplice obbligo per i Titolari del trattamento di rendere il loro trattamento trasparente[1] (per gli interessati e le autorità di controllo), obbligando i Titolari del trattamento ad essere in grado di dimostrare effettivamente la conformità con il GDPR. Evidentemente, questo permette che il trattamento venga aperto alla supervisione. Inoltre, comporta chiaramente “l’onere della prova”: non sono gli interessati o le autorità di controllo a dover dimostrare una violazione del GDPR, la non trasparenza che nasconde la non conformità è di per sé una violazione.

Per mettere in pratica questo obiettivo, in una primafase, il GDPR fa in modo che la piena responsabilità ricada chiaramente nelle mani del Titolare del trattamento (o titolari congiunti) che determina gli scopi e i mezzi del trattamento[2]. Questo viene fatto, per esempio, obbligando i responsabili a esercitare il controllo sui propridipendenti[3] e stipulando contratti[4]con eventuali servizi informatici esterni (i cosiddetti “Responsabili del trattamento”) che garantiscono il controllo fino al diritto di audit in loco da parte del controllore[5].

Una volta che la responsabilità viene chiarita, i Titolari del trattamento sono obbligati ad essere completamente trasparenti sul trattamento. Questo include informare proattivamente gli interessati sull’esistenza e le caratteristiche principali del trattamento[6]e fornire altri tipi di informazioni su richiesta[7]. Per quest’ultimo scopo, i Titolari del trattamento di solito devono anche designare un Responsabile della protezione dei dati[8] icui dettagli di contatto sono parte delle informazioniobbligatorie[9] e che serve come punto di contatto per gli interessati[10].

I Titolari del trattamento devono inoltre notificare le violazioni dei dati sia all’autorità di controllo competente[11]che (qualora esposti ad alto rischio) agli interessati[12]. Inoltre, per le autorità di controllo, i Titolari del trattamento devono mantenere i registri di tutte le attività di trattamento che riguardano i dati personali[13]ed essere in grado di presentare una valutazione d’impatto sulla protezione dei dati per le attività di trattamento che possono comportare un rischio elevato per i diritti e le libertà degli interessati[14]. Quest’ultimo è uno strumento primario per dimostrare la conformità con il GDPR.

Responsabilizzazione degli interessati

Poiché esiste uno squilibrio di potere nel trattamento dei dati, il GDPR conferisce potere alla parte più debole, cioè agli interessati. Questo trasforma gli interessati da osservatori impotenti del trattamento a parti interessate che possono difendere i loro diritti e libertà attraverso l’intervento.

Il GDPR autorizza gli interessati soprattutto attraverso i cosiddetti diritti dell’interessato[15]. Essi includono quanto segue[16]:

  • Il diritto di accesso[17] ai dati dell’interessato che vengono trattati
  • Il diritto di rettifica[18], che permette di correggere dati personali inesatti e completare dati incompleti
  • Il diritto alla cancellazione[19], che è anche chiamato diritto all’oblio
  • Il diritto alla limitazione del trattamento[20], che permette agli interessati di chiedere la sospensione del trattamento dei loro dati in determinate circostanze[21]
  • Il diritto di opposizione[22], che permette agli interessati di chiedere la cessazione del trattamento dei loro dati in determinate circostanze
  • Il diritto di non essere sottoposto a una decisione basata unicamente su un trattamento automatizzato che produca effetti giuridici che lo riguardano o che lo riguardino in modo altrettanto significativo[23], compreso il diritto di ottenere l’intervento umano da parte del Titolare del trattamento[24].

Oltre a questi diritti, gli interessati hanno anche:

  • il diritto di revocare il consenso in qualsiasi momento[25] nel caso in cui la base giuridica del trattamento sia il consenso[26]
  • il diritto di essere informati dal Titolare del trattamento sulla propagazione delle richieste dei diritti degli interessati a tutti i destinatari[27].

Bilanciare il potere attraverso l’istituzione di autorità di vigilanza

Anche se le persone interessate sono autorizzate a esercitare i diritti di cui sopra, le loro risorse possono essere insufficienti per farli valere. In particolare, potrebbero non essere in grado di utilizzare da soli il loro diritto a un ricorso giudiziario efficace contro un Titolareo un Responsabile del trattamento[28]. Per questo motivo, il GDPR concede agli interessati il diritto di presentare un reclamo a un’autorità di controllo[29].

In altre parole, il GDPR fornisce agli interessati un alleato il cui potere è paragonabile o superiore a quello del controllore e quindi sufficiente per far valere i diritti degli interessati.

Il GDPR concede quindi dei poteri alle autorità di controllo[30]. Questi vanno da poteri investigativi[31]come gli auditin loco[32] a poteri correttivi[33] come l’imposizione di sanzioni amministrative[34], ordinando la sospensione dei flussi di dati ai destinatari[35] e vietando del tutto il trattamento[36].

Limitazione per i Titolari del trattamento a usare il potere solo per raggiungere gli scopi legittimi dichiarati

Dimostrando che le finalità sono legittime e lecite, un Titolare del trattamentogiustifica l’acquisizione di potere derivante dall’attività di trattamento. È evidente che usare questo potere per qualsiasi altro scopo mancherebbe di giustificazione. In altre parole, i permessi di trattamento sono limitati agli scopi dichiarati per i quali i dati vengono raccolti.

Il GDPR chiama questo principio “limitazione delle finalità” (vedi art. 5(1)(b)).

Il modo per attuare tecnicamente e organizzativamente questo principio è la separazione delle attività di trattamento distinte.

Come seconda linea di difesa, anche se i dati provenienti da diverse attività di trattamento vengono comunque riuniti, misure come la pseudonimizzazione possono rendere più difficile l’effettiva unificazione di tali dati attraverso il collegamento di record di dati relativi alla stessa persona.

Si noti che questa regola impedisce anche l’accumulo di potere derivante dallacombinazionedi dati da diverse attività di trattamento. Tale combinazione porterebbe ovviamente a una visione più profonda della vita delle persone interessate, interessando più aspetti, o a una più ampia copertura di conoscenza che comprende un maggior numero di persone interessate. In entrambi i casi, si può sostenere che il potere combinato è maggiore della somma delle sue parti.

Minimizzazione del potere a ciò che è necessario per soddisfare gli scopi dichiarati

Sebbene la dimostrazione di legittimità e liceità delle finalità abbia giustificato il trattamento in quanto tale, questo deve essere attuato in modo da ridurre al minimo l’acquisizione di potere a quanto è strettamente necessario per soddisfare tali finalità. Questa minimizzazione del potere riguarda i seguenti tre aspetti:

  • Contenuto informativo dei dati personali
  • Grado di associazione dei dati con l’interessato, e
  • Limitazione dei destinatari che hanno accesso al potere

Questo verrà spiegato più dettagliatamente nei seguenti punti.

Minimizzazione del contenuto delle informazioni (cioè del potere)

Poiché la conoscenza è potere, la minimizzazione del potere significa che i dati personali raccolti devono essere ridotti al minimo. Solo i dati che possono essere dimostrati essere necessari per soddisfare gli scopi dichiarati possono essere legittimamente raccolti.

Il GDPR chiama questo principio “minimizzazione dei dati” (vedi Art. 5(1)(c)). In particolare, richiede che i dati raccolti siano “adeguati, pertinenti e limitati a quanto necessario in relazione alle finalità per cui sono trattati”. Se il trattamento avviene nel tempo, si richiede anche di conservare i dati non più a lungo di quanto necessario per le finalità. Nel caso di un trattamento più complesso con più fasi, ogni fase dovrebbe avere solo i dati realmente necessari e il contenuto delle informazioni deve essere ridotto tra le fasi.

Minimizzare l’associazione alla persona interessata

La facilità con cui il potere sul soggetto dei dati può essere esercitato dipende dal grado in cui il soggetto titolare dei dati può essere associato ai dati. La forza dell’associazione tra i dati e la persona interessata dovrebbe quindi essere ridotta al minimo.

Il GDPR distingue tre tipi di dati con diversi gradi di associazione:

  • Dati completamente identificativi
  • Dati pseudonimizzati
  • Dati anonimizzati

I primi permettono “l’identificazione diretta[37] della persona interessata tramite “un “identificatore” come un nome, un numero di identificazione, dati di localizzazione, [o] un identificatore online”[38]; i dati pseudonimizzati permettono l’identificazione solo con l’uso di “informazioni aggiuntive”[39]; e i dati anonimi in cui “la persona interessata non è o non è più identificabile[40].

In analogia con la minimizzazione dei dati, i dati devono essere raccolti con il minimo grado di associazione con la persona interessata. Considerando l’aspetto temporale, “i dati personali sono conservati in una forma che permette l’identificazione delle persone interessate per un tempo non superiore a quello necessario alle finalità”[41]. Nel caso di un trattamento più complesso con più fasi, ogni fase dovrebbe avere solo il minimo grado di associazione realmente necessario e dovrebbero essere usatenelle varie fasila pseudonimizzazione o la anonimizzazione.

Il GDPR chiama questo principio “limitazione della conservazione” (vedi art. 5(1)(e)).

Limitazione dell’accesso al potere

Il potere è nelle mani delle persone e delle organizzazioni. Se la conoscenza è potere, questo potere è disponibile solo per le parti a cui vengono divulgati i dati personali. Il GDPR chiama tali parti destinatari[42]. Possono essere sia dipendenti del Titolare del trattamento o del Responsabile del trattamento, sia destinatari che sono parti designate, sia parti non intenzionali come gli aggressori.

L’accesso al potere deve essere limitato a ciò che è necessario per soddisfare gli scopi dichiarati. Il GDPR chiama questo principio “riservatezza”[43].

La riservatezza ha due principi:

  • Impedire l’accesso a parti non autorizzate
  • Limitare l’accesso alle parti autorizzate

Il primo protegge in larga misura contro gli aggressori esterni con misure come la crittografia dei dati archiviati o delle comunicazioni e i firewall. Il secondo è solitamente chiamato controllo dell’accessoe assicura che la parte che accede ai dati sia effettivamente autorizzata (autenticazione), limita l’accesso ai dati che sono necessari (diritti di accesso) e può limitare l’accesso ai momenti in cui è necessario.

Protezione del patrimonio della persona interessata

In molti tipi di attività di trattamento, i dati personali memorizzati dal Titolare del trattamento hanno anche un valore significativo per il soggetto dei dati. I primi esempi sono le raccolte di foto basate su cloud, le suite office e i sistemi di gestione dei documenti, ma anche i dati medici che risiedono presso il medico del paziente. Chiamiamo tali dati asset.

Questi asset o risorse possono avere un valore molto più basso per il Titolare del trattamento che può essere riluttante a investire in modo significativo nella loro protezione. Inoltre, un modo in cui un Titolare del trattamentopuò esercitare il potere su un interessato è quello direndere l’accesso alle risorse di un interessato dipendente da determinate condizioni.

Per evitare tale esercizio di potere, il GDPR impone ai Titolari del trattamento di proteggere le risorse o asset degli interessati. In particolare, richiede di proteggere queste risorse contro:

  • perdita accidentale, distruzione o danno[44]
  • rifiuto di permettere all’interessato di utilizzare le risorse in modo indipendente dal Titolare del trattamento.

Il primo tipo di protezione è noto anche come disponibilità e resilienza[45]. Il secondo è chiamato portabilità dei dati ed è uno dei diritti[46] degli interessati.

Divieto di trattamento non adatto allo scopo

Ottenere un potere attraverso qualsiasi trattamento non adatto a soddisfare gli scopi dichiarati è evidentemente illegittimo.

Il GDPR utilizza due principi per far rispettare l’idoneità allo scopo:

  • Integrità (cfr. Art. 5(1)(f)
  • Accuratezza (cfr. art. 5(1)(d)).

La prima obbliga a proteggere i dati da danni accidentali e modifiche non autorizzate; la seconda obbliga a mantenere i dati aggiornati e precisi e, in caso contrario, a cancellarli o rettificarli senza indugio.

 

 

  1. Si noti che la trasparenza è anche un principio del GDPR come indicato nell’art. 5(1)(a).
  2. Vedi l’art. 4(7) GDPR.
  3. Vedi l’art. 29 e 32(4) GDPR.
  4. Vedi l’art. 28(3) GDPR.
  5. Vedi l’art. 28(3)(h) GDPR.
  6. Vedi Art. 13 e 14 GDPR.
  7. Vedi ad esempio l’art. 15 12(3) e 19 GDPR.
  8. Vedi l’art. 37 GDPR.
  9. Vedi l’art. 13(1)(b) e 14(1)(b) GDPR.
  10. Vedi l’art. 38(4) GDPR.
  11. Vedi l’art. 33 GDPR.
  12. Vedi l’art. 34 GDPR.
  13. Vedi Art. 30 GDPR.
  14. Vedi l’art. 35 GDPR.
  15. Vedi il capitolo 3 del GDPR che comprende gli articoli da 12 a 23.
  16. Si noti che il diritto alla portabilità dei dati è discusso nella sezione sulla protezione del patrimonio dell’interessato.
  17. Vedi Art. 15 GDPR.
  18. Vedi Art. 16 GDPR.
  19. Vedi Art. 17 GDPR.
  20. Vedi Art. 18 GDPR.
  21. Queste circostanze sono elencate nell’art. 18(1) GDPR.
  22. Vedi Art. 21 GDPR.
  23. Vedi Art. 22 GDPR.
  24. Vedi l’art. 22(3) GDPR.
  25. Vedi l’art. 7(3) GDPR.
  26. Vedi l’art. 6(1)(a) e 9(2)(a) GDPR.
  27. Vedi Art. 19 GDPR, seconda frase.
  28. Vedi l’art. 79 GDPR.
  29. Vedi l’art. 77 GDPR.
  30. Vedi Art. 58 GDPR.
  31. Vedi l’art. 58(1) GDPR.
  32. Vedi l’art. 58(1)(b) e (f) GDPR.
  33. Vedi l’art. 58(2) GDPR.
  34. Vedi l’art. 58(2)(i) GDPR.
  35. Vedi l’art. 58(2)(j) GDPR.
  36. Vedi l’art. 58(2)(f) GDPR.
  37. Questo termine è introdotto nell’art. 4(1) GDPR.
  38. Questa formulazione è estratta dall’art. 4(1) GDPR.
  39. Si noti che questo termine è usato nell’art. 4(5) GDPR che fornisce la definizione di pseudonimizzazione.
  40. Questa formulazione è estratta dalla frase 5 del Considerando 26 del GDPR.
  41. Questa formulazione è estratta dall’art. 5(1)(e) GDPR.
  42. Vedi l’art. 4(9).
  43. Vedi l’art. 5(1)(f).
  44. Vedi l’art. 5(1)(f) GDPR.
  45. Vedi l’art. 32(1)(b) e (c) GDPR.
  46. Vedi Art. 20 GDPR.

 

Skip to content